Skimming: cosa significa e come tutelarsi

Si tratta di un sistema di clonazione delle carte di credito mediante il quale la carta viene inserita in un.

Si tratta di un sistema di clonazione delle carte di credito mediante il quale la carta viene inserita in un apparato detto skimmer che rileva numero e pin.  Come funziona lo skimming? Dei criminali informatici attaccano un sito di commercio online e vi inseriscono delle istruzioni, i quali intercettano i dati delle carte di credito quando vengono digitati dagli utenti durante un acquisto online fatto sul sito. Di solito i dati intercettati vengono poi passati al sito legittimo e quindi l’acquisto va a buon fine.

Così l’utente vittima non si accorge di nulla, fino al momento in cui scopre che nella propria fattura della carta di credito ci sono addebiti fraudolenti. Per proteggerci da questo tipo di attacco molti antivirus e molte applicazioni di sicurezza per smartphone, tablet e computer sono in grado di rilevare se un sito commerciale visitato è stato colpito da un attacco di skimming. Conviene quindi installare queste protezioni informatiche come prima linea di difesa preventiva.

Ma non si può essere del tutto certi che questa prima forma di protezione funzioni sempre. Di conseguenza, come precauzione aggiuntiva è opportuno attivare sulla propria carta di credito una notifica immediata, che avvisi subito il titolare quando viene fatta una spesa e permetta quindi di bloccare subito la carta in caso di uso non autorizzato.

In alternativa, si può usare una carta di credito prepagata: in questo modo un eventuale ladro potrà prelevare soltanto l’importo caricato sulla carta in quel momento, ma non potrà prosciugare completamente il credito del conto.

Il furto del bancomat e i prelievi non autorizzati, tuttavia, sono temi che riguardano la duplice responsabilità della banca in termini di mancato approntamento di sistemi di sicurezza e mancato rispetto dei principi di integrità e riservatezza dei dati, alla luce del GDPR. Ecco in dettaglio le vulnerabilità dei sistemi di sicurezza

i legge spesso del furto di carte bancomat o di credito successivamente utilizzate dai malviventi per effettuare diversi prelievi non autorizzati nell’arco di pochi minuti dopo il maltolto.

Il tema riguarda la responsabilità duplice della banca in termini di:

  1. mancato approntamento di adeguati sistemi di sicurezza per fronteggiare la sottrazione del PIN (violazione dell’obbligo di diligenza “tecnica” ai sensi dell’art 1176 II comma c.c.);
  2. mancato approntamento di adeguate misure tecniche ed organizzative per evitare la divulgazione del codice e, dunque, il suo illegittimo utilizzo (violazione dell’art 5 lettera f) REG. UE 2016/679 – GDPR – relativamente ai principi di integrità e riservatezza dei dati e correlazione con l’art 32 GDPR).

Furto del bancomat e prelievi non autorizzati: sistemi di sicurezza

Il primo tema da affrontare qualora si verifichino furto del bancomat e prelievi non autorizzati è il mancato approntamento di adeguati sistemi di sicurezza per fronteggiare la sottrazione del PIN (violazione dell’obbligo di diligenza “tecnica” ai sensi dell’art 1176 II comma c.c.).

Una volta denunciato alle competenti autorità il furto ed operato il blocco della carta, i danneggiati possono depositare richiesta formale di rimborso al proprio istituto di credito.

Purtroppo, sempre più spesso, le banche negano la richiesta eccependo la mancata adozione, da parte dell’utente, di cautele per evitare il furto e adducendo, per esempio, che il codice PIN è stato conservato unitamente alle carte.

In realtà, considerate peraltro le più recenti pronunce anche dell’ABF (Arbitro Bancario Finanziario), la prova dell’eventuale negligenza del derubato ricade sull’istituto: in mancanza, si deve concludere per l’incapacità dello stesso di approntare idonee misure tecniche e organizzative (e, dunque, la vulnerabilità dei sistemi di sicurezza) per evitare la perdita anche finanziaria della persona fisica.

In particolare: il comportamento eventualmente negligente del cliente è oggetto di prova da parte della banca, cosa, questa, che nella quasi totalità dei casi non viene offerta, rilevando al contrario un tentativo degli istituti di far ricadere le condotte dei proprietari della carta bancomat o di credito oggetto di furto nell’alveo della colpa grave al solo scopo di sottrarsi all’obbligo di restituzione (ABF del 20/03/2006; Trib. Roma sent. del 17/04/2008; ABF – Collegio di Roma, Decisione n. 506/2010).

Le Banche , dunque, negano qualsiasi responsabilità per punto preso, così dire “in serie”: sulla base di un calcolo meramente probabilistico, gli istituti rispondono con un mero diniego adducendo – come accennato – scusanti generiche e contando sull’inerzia dell’utente.

Secondo un consolidato orientamento giurisprudenziale che ha preso le mosse da un’ormai nota pronuncia del Tribunale di Roma e dell’Arbitro Bancario Finanziario [del 20/03/2006; Trib. Roma sent. del 17/04/2008; ABF, Collegio di Roma, Decisione n. 506/2010] – conservare assieme bancomat il pin non comporterebbe di per sé comportamento negligente poiché i giudici hanno in effetti rilevato che è tecnicamente possibile, mediante apposito programma informatico, estrarre le credenziali dalla carta di pagamento, dopo esserne venuti illegittimamente in possesso.

È noto, infatti, anche nelle cronache locali, che la tecnica di decodifica dei malviventi è purtroppo molto avanzata: ci si riferisce, ad esempio, al sistema di clonazione della carta bancomat tramite il dispositivo c.d. “skimmer” installato nelle fessure nelle quali si inseriscono le carte e in grado di reperire il codice.

Di conseguenza, il fatto di conservare il PIN del bancomat insieme alla carta (per esempio, entrambi nel portafogli), in caso furto della borsa, non esonera la banca dal risarcimento del danno subito dal cliente poiché è dimostrato che il solo possesso del bancomat consente il recupero del codice PIN.

Il pensiero ormai costante della giurisprudenza è, dunque, a favore del titolare della carta bancomat o della carta di credito oggetto di furto e ciò sulla base dell’obbligo di diligenza imposta al soggetto qualificato – quale appunto l’istituto di credito – e descritta nell’art. 1176 II comma c.c..

Il Tribunale di Padova sez. II, con sentenza del 22.03.17 ha chiarito che, in assenza di un quadro probatorio che porti a confermare la grave negligenza del derubato, si deve concludere che il comportamento del soggetto sia stato prudente e che, diversamente, la banca non sia stata in grado di apprestare gli adeguati sistemi di sicurezza per fronteggiare la sottrazione del PIN.

La Suprema Corte, come si diceva, si è pronunciata più volte sul caso, rilevando che la diligenza posta a carico dell’istituto bancario ha natura tecnica e deve essere valutata ai sensi dell’art 1176 II comma c.c., tenendo conto “dei rischi tipici della sfera professionale di riferimento, assumendo come parametro la figura dell’accorto banchiere: spetta pertanto all’intermediario bancario provare di aver adottato tutte le misure idonee a garantire la sicurezza del servizio da eventuali manomissioni”. (Cass. Civ. Sez. I, 03.02.2017 n. 2950; Cass. Civ. Sez. I, 19.01.2016 n. 806).

E ancora, si legge che “nel caso di uso illegittimo di una tessera bancomat, la società di servizi che eccepisca la colpa concorrente del titolare per difettosa custodia del codice personale, ha l’onere di provare concretamente tale negligenza, la quale non può ritenersi “in re ipsa” per il solo fatto che una tessera bancomat, dopo il furto, sia stata utilizzata per prelevare facendo uso del pin”.

È del resto possibile ricavare illecitamente il pin necessario per effettuare prelievi dal contro corrente altrui anche mediante appositi strumenti informatici. (Trib. Roma Sez. XIII, Sent. 20.03.2006).

L’indirizzo costante dell’ABF è del medesimo avviso, escludendo la rilevanza delle prove presuntive tutte le volte in cui l’istituto di credito neghi la richiesta di rimborso adducendo che il furto e il successivo prelievo del conto siano sempre la diretta conseguenza dell’incuria del titolare (ABF Collegio Milano – decisione 3046/2016; ABF – Collegio Nord – decisione n. 888/2011; ABF – Collegio Centro – decisione n. 1357/2011; ABF – Collegio Nord – decisione n. 2556/2012; ABF – Collegio Nord – decisione n. 4085/13; Tribunale di Firenze sentenza 91202/2012).

Secondo quanto esposto, dunque, il derubato ha diritto di ottenere il rimborso del maltolto, al netto dell’eventuale franchigia presentando, come detto, reclamo scritto al proprio istituto di credito, spettando, invece, a quest’ultimo la prova dell’eventuale negligenza di custodia del titolare.

In caso di diniego, l’utente ha diritto di rivolgersi all’ABF (Arbitro Bancario Finanziario) o al giudice competente.

Le due scelte non sono cumulabili: qualora la domanda fosse già all’esame dell’Autorità Giudiziaria (oppure in caso di adesione alla Class Action ai sensi dell’art. 140-bis del Codice del Consumo), l’ABF dovrà esimersi dal procedere.

In ogni caso, qualora si ritenga insoddisfacente la decisione dell’ABF, l’interessato potrà rivolgersi al Giudice (del pari, l’intermediario).

Furto del bancomat e prelievi non autorizzati alla luce del GDPR

Il secondo tema da affrontare qualora si verifichino furto del bancomat e prelievi non autorizzati è, come dicevamo all’inizio, il mancato approntamento di adeguate misure tecniche ed organizzative per evitare la divulgazione del codice e, dunque, il suo illegittimo utilizzo (violazione dell’art 5 lettera f) REG. UE 2016/679 – GDPR – relativamente al principio di riservatezza dei dati e correlazione con l’art 32 GDPR).

A sensi dell’art 5 lettera f) GDPR, i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei medesimi, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità o riservatezza”).

In correlazione con detta disposizione, l’24 GDPR stabilisce che “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”.

L’art 32, infine, delinea, tra le altre, il livello di adeguatezza delle misure allorquando siano in grado di contrastare i rischi di: distruzione, perdita, modifica, divulgazione non autorizzata ed accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Nel caso concreto, gli intermediari – in qualità di titolari dei dati personali dei propri clienti – sono chiamati anzitutto all’approntamento delle “misure tecniche e organizzative adeguate” per garantire la sicurezza dei medesimi e nel rispetto dei principi sanciti dall’art 5 lettera f) GDPR in merito all’integrità e riservatezza dei dati e dunque per garantire i medesimi da “trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

Le misure devono dunque essere in grado di resistere a eventi imprevisti o atti illeciti o dolosi che possano compromettere, tra gli altri, anche l’integrità e la riservatezza dei codici pin.

Il dato deve essere protetto al fine di garantire la protezione della persona fisica che è Il Destinatario del regolamento europeo: la sicurezza del trattamento è funzionale alla sicurezza della persona fisica a cui quello specifico trattamento si riferisce.

Dette violazioni comportano il diritto in capo al derubato di ottenere il risarcimento del danno ai sensi e per gli effetti degli artt. 82 GDPR e 2050 c.c, “sfruttando” il vantaggio dell’inversione dell’onere della prova.

Il titolare del trattamento (o il responsabile) dovrà dimostrare che l’evento dannoso non gli è imputabile, provando di avere adottato tutte le misure idonee ad evitare il danno in seguito ad un’analisi dei rischi sui diritti e le libertà degli individui a cui il trattamento si riferisce.

Nel caso di furto della carta bancomat o di credito e di prelievi non autorizzati, grava sull’istituto la dimostrazione di aver approntato detto adeguamento fin dalla progettazione (c.d. privacy by design).

Consapevoli, dunque, di tali accadimenti, gli intermediari sono obbligati alla progettazione di un sistema molto complesso di adeguamento che debba tener conto, ai sensi dell’art 32 GDPR: “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità di trattamento, come anche del rischio di varia probabilità e gravità per i diritti e libertà delle persone fisiche”.

Nel caso di specie, dunque, l’autorità interpellata dovrà valutare anche l’assiduità della verificazione dell’illecito e le aree nelle quali maggiormente si verifica.

Cosa fare? Contatteci immediatamente per tutelarvi nei confronti della Vostra Banca.

This article was written by codiciumbria

La Storia "CODICI" Centro per i Diritti delCittadino, è un'Associazione di cittadini impegnata ad affermare, promuovere e tutelare i diritti dei cittadini con particolare riferimento alle persone più indifese ed emarginate. Nasce 1987 come CO.DI.CI. e si afferma nel 1993 come coordinamento di associazioni per la tutela dei diritti del cittadino, nel 1998 scioglie la sua struttura confederativa e si trasforma nell' Associazione CODICI centro per i diritti del cittadino, quale associazione impegnata ad affermare i diritti dei cittadini consumatori, senza distinzione di classe, sesso, credenza religiosa e appartenenza politica. Un'attività presente in modo capillare sull'intero territorio nazionale. l'Associazione, infatti, con le sue sedi regionali e provinciali, si caratterizza per il contatto diretto che cerca di creare con i cittadini, al fine di cogliere le reali necessità ed offrire soluzioni concrete. CODICI è: Organizzazione non lucrativa di utilità sociale, ONLUS, il cui scopo è quello di intraprendere ogni attività culturale, politica e giuridica tesa alla promozione, all'attuazione e alla tutela dei diritti del cittadino Associazione Nazionale di Promozione Sociale, riconosciuta presso il Ministero del Welfare, e intraprende tutte quelle azioni che favoriscano l'affermazione di una società democratica e solidale, per la diffusione della cultura, della legalità e del diritto alla cittadinanza. Associazione Nazionale di Consumatori ed Utenti, riconosciuta presso il Ministero delle Attività Produttive; promuove e favorisce una politica di tutela e di informazione in favore dei consumatori. Associazione nazionale antiusura e antiracket, riconosciuta dal Ministero dell'Interno e si prodiga nell'assistenza e solidarietà ai soggetti danneggiati da attività estorsive e dall'usura. GLI STRUMENTI Il CODICI si avvale di variegati strumenti per offrire un servizio utile ai cittadini: lo sportello, presente in tutte le sedi, cui i cittadini possono rivolgersi per segnalare violazioni di diritti, ricevendo un'informazione diretta da parte di operatori specializzati; l'ufficio legale, cui afferiscono i cittadini che hanno subito vessazioni e ingiustizie da parte delle istituzioni pubbliche o private, ricevendo tutela giudiziaria e stragiudiziale; i gruppi territoriali, persone che si confrontano periodicamente sulle problematiche locali ed elaborano azioni di tutela per i cittadini; il Centro Studi, formato da personale qualificato che attraverso dei gruppi di lavoro permanenti analizza ed elabora strategie di intervento in risposta a diversi fenomeni di disagio sociale; l'ufficio stampa organizza conferenze, convegni, e, attraverso una costante attività di monitoraggio e redazione, interagisce con gli organi di informazione e stampa. 

Lascia il Tuo commento